Golang-basierter Spreader verbreitet Kryptowährungs-Miner

Originalbeitrag von Augusto Remillano II und Mark Vicente

Ein Golang-basierter Spreader kommt in einer Kampagne zum Einsatz, die einen Kryptowährungs-Miner verteilt. Golang oder Go ist eine quelloffene Programmiersprache, die in letzter Zeit häufig für Malware-Aktivitäten eingesetzt wird. Trend Micro hat bereits im Mai die Nutzung des Spreaders entdeckt und ihn in einer neuen Kampagne wieder gefunden.

Der Spreader scannt nach Maschinen mit angreifbarer Software, um sich dort zu verbreiten. Den Ablauf des Angriffs zeigt die Abbildung:

Bild: Der Infektionsablauf während des Angriffs

Die technischen Details dazu finden Sie im Originalbeitrag.

Fazit und Sicherheitsempfehlungen

Golang-basierte Skripts waren schon vorher in einer Kampagne im Mai aufgefallen. Go wurde auch als Data Stealer Malware in diesem Jahr eingesetzt, so Malwarebytes. Die Programmiersprache liefert Cyberkriminellen ein einfaches Mittel für eine plattformübergreifende Entwicklung, sodass sie sowohl Linux- als auch Windows-Maschinen infizieren können. Dies ist kein Alleinstellungsmerkmal, sodass der Erfolg von Golang vermutlich eher darauf beruht, dass die Schadsoftware schwieriger zu analysieren ist als mit anderen Sprachen entwickelte Programme.

Anwender können jedoch Schritte unternehmen, die die Effektivität ähnlicher Kampagnen minimieren: Sie sollten die Netzwerksicherheit und –verteidigung stärken, indem:

  • sie die nötigen Patches und Updates so schnell wie möglich aufspielen,
  • sich der Methoden der Angreifer zur Verbreitung der Malware bewusst werden und ihre Verteidigung darauf ausrichten, sowie
  • System- und Geräteeinstellung auf Sicherheit ausgerichtet ändern, um nicht autorisierten Zugang zu verhindern.

Trend Micro-Lösungen

Trend Micro Endpoint-Lösungen wie Trend Micro Smart Protection Suites und Trend Micro Worry-Free Services Advanced können Anwender und Unternehmen vor Bedrohungen wie Krypto-Miner schützen, weil sie bösartige Dateien erkennen und alle damit in Verbindung stehenden böartigen URLs blockieren. Netzwerkschutz bietet Trend Micro Deep Discovery Inspector, der über die Sandbox und Scanning Bedrohungen erkennen und blockieren kann.

Kunden des Trend Micro Deep Discovery Inspector sind vor den Exploits über folgende Regeln geschützt:

  • 2573: MINER – TCP (Request)
  • 2626: CVE-2018-7600 – Drupal Remote Code Execution – HTTP (Request)
  • 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)
  • 2887: CVE-2019-3396 – ATLASSIAN CONFLUENCE – HTTP (Request)

Indicators of Compromise (IoCs), URLs und Wallet-Adressen enthält der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.